Envoi des faux négatifs (spams non détectés) ou des faux positifs (messages électroniques légitimes) à Symantec Security Response

TECH83081
Last Updated July 15, 2019

L'un des produits Symantec Mail Security suivants n'a pas détecté des spams, des newsletters ou des messages marketing ou a généré un faux positif. Vous souhaitez envoyer ce document à Symantec Security Response pour examen.

  • Messaging Gateway
  • Messaging Gateway for Service Providers
  • Mail Security for Microsoft Exchange

Si vous utilisez les services Email Security.cloud, Web Security.cloud ou ATP Email et que vous pensez avoir rencontré un faux négatif ou un faux positif du composant Cynic, consultez Envoi de faux négatifs liés à des menaces non détectées par les services de messagerie Symantec.cloud.

Définitions

Spam

Symantec définit un spam comme un message électronique indésirable envoyé à un grand nombre de destinataires (y compris les messages électroniques commerciaux indésirables). De nombreux utilisateurs finaux, clients et même des analystes désignent les spams au sens large comme toute communication indésirable. Les éléments suivants ne sont pas inclus dans la définition du spam de Symantec :

  • Messages électroniques de marketing direct indésirables demandés par le destinataire
  • Newsletters indésirables demandées par le destinataire

Symantec Messaging Gateway (SMG) a des verdicts de disposition sur les messages de newsletter, les messages de marketing et les messages d'URL suspects. Pour en savoir plus sur ces dispositions et les procédures d'envoi de messages, consultez Verdicts de disposition disponibles avec Messaging Gateway.

Spam suspecté

Les messages qui sont indiqués comme spam suspecté ne sont pas traités comme faux positifs. La fonction de spam suspecté des produits Symantec Email Security est destinée à augmenter le filtrage du spam. Il appartient aux administrateurs du produit de déterminer un seuil qui convient à l'entreprise. Contrairement au spam, qui est déterminé par Symantec et n'est pas sujet à ajustement par les administrateurs, le seuil de spam suspecté doit être configuré à un niveau approprié ou complètement désactivé. Il est conseillé aux administrateurs des produits Symantec Email Security d'utiliser des politiques pour spécifier des actions moins obstructives pour les messages identifiés comme spam suspecté que pour les messages identifiés comme spam par Symantec.

Faux positif

Un faux positif est un message électronique légitime qui a reçu à tort un verdict de spam.

Envois de spam non détecté

Les messages qui n'ont pas été bloqués par les filtres antispam et qui correspondent à la définition du spam peuvent être envoyés à Symantec pour analyse (et l'éventuelle création d'un filtre).

REMARQUE : les clients qui utilisent Symantec Message Gateway (SMG) ou Symantec Mail Security for Microsoft Exchange (SMSMSE) peuvent utiliser le produit additionnel Symantec Email Submission Client (SESC) pour envoyer facilement le spam à Symantec.  SESC est disponible depuis Symantec Fileconnect à l'aide des numéros de série standard des produits SMG ou SMSMSE.  Consultez les informations suivantes sur la dernière version de SESC : Notes de mise à jour de Symantec Email Submission Client (SESC) 2.0

Pour analyser un message spam non détecté, Symantec doit recevoir le message spam d'origine :

  • Dans les 24 heures suivant la réception
  • En tant que pièce jointe à un message électronique* « message/rfc822 » 
  • Une seule pièce jointe par envoi**

Envoyez le message de spam en pièce jointe à l'adresse électronique correspondant à votre région :

Vous trouverez ci-dessous des instructions sur la façon de joindre des messages pour les clients de messagerie courants. Pour tous les autres systèmes de messagerie, consultez la documentation ou contactez le fournisseur de services pour obtenir de l'aide.

Qu'advient-il des envois de spam non détecté ?

Seuls les messages envoyés selon la procédure indiquée précédemment seront acceptés pour analyse et l'éventuelle création d'un filtre antispam.

Le centre Security Response traite les messages reçus à l'aide d'un algorithme complexe qui regroupe le message et les autres messages envoyés par les clients ou via le probe network étendu. Lorsqu'un groupe de messages suffisamment semblables atteint un seuil, on considère qu'il s'agit d'une attaque. À ce stade, un processus automatisé ou un technicien Security Response crée un filtre pour répondre à l'attaque le plus précisément possible sans créer un potentiel faux positif.  L'ajout d'un filtre au jeu de règle approprié termine le processus dans votre centre Security Response.  Votre boîte de réception est alors protégée contre l'attaque une fois le jeu de règles mis à jour sur le serveur de messagerie de filtrage

Commentaires sur les envois de spam non détecté

Symantec ne tient pas compte des messages envoyés aux adresses ci-dessus. En raison du volume d'envois reçus, Security Response ne peut garantir la création des filtres. Pour la création de règles spécifiques, les clients doivent utiliser les règles personnalisées, les politiques de conformité et les modules de liste noire.

Pour les administrateurs de messagerie qui souhaitent activer le signalement de spam de l'utilisateur final

Un bouton « Signaler le spam » peut être configuré dans l'interface du client de messagerie pour permettre aux utilisateurs finaux d'envoyer directement les spams non détectés. Les administrateurs doivent travailler avec le fournisseur de leur client de messagerie pour ce faire. Un alias doit être configuré pour l'adresse d'envoi approprié ci-dessus. Le bouton doit actionner le transfert du message de spam d'origine à l'alias en tant que pièce jointe à un message électronique RFC 822 avec conservation complète des en-têtes et du corps. Une copie du message peut également être envoyée au bureau de support interne du client.

Envoi de faux positif

Un message électronique légitime qui a reçu un verdict erroné de spam peut être envoyé à Symantec pour analyse et révision de filtre. Comme expliqué ci-dessus, les messages avec verdict de spam suspecté ne sont pas considérés comme de faux positifs et ne seront pas examinés.

Pour analyser un message de faux positif, Symantec doit recevoir le message de faux positif d'origine :

  • En tant que pièce jointe à un message électronique « message/rfc822 »*
  • Une seule pièce jointe par envoi**

Envoyez le message de faux positif en pièce jointe à l'adresse électronique correspondant à votre région :

Vous trouverez ci-dessous des instructions sur la façon de joindre des messages pour les clients de messagerie courants. Pour tous les autres clients de messagerie, consultez la documentation ou contactez le fournisseur de services pour obtenir de l'aide.

Qu'arrive-t-il aux envois de faux positifs ?

Seuls les messages envoyés selon la procédure indiquée précédemment seront acceptés pour analyse.

Les messages ayant fait l'objet d'un verdict de spam sont traités dans les 24 heures. Chaque envoi de faux positif est examiné individuellement afin d'évaluer ce qui a causé la détection du message en tant que spam et quelles mesures correctives, le cas échéant, doivent être prises. Notez que Symantec ne garantit pas que chaque envoi entraîne une modification de nos filtres.

Commentaires sur les envois de faux positifs

Symantec n'accuse pas réception des messages envoyés aux adresses ci-dessus. Assurez-vous que vous suivez la procédure décrite ci-dessus pour envoyer votre demande dans le bon format. Si le problème n'est pas résolu, contactez votre administrateur ou le support de Symantec.

Que se passe-t-il si le message électronique de faux positif a été supprimé ?

Si l'action proposée par un verdict de spam est de le supprimer et que vous êtes au courant de la suppression d'un message électronique légitime en raison d'un verdict de spam, vous pouvez communiquer avec l'expéditeur d'origine pour qu'il renvoie son message électronique.

  • Vous pouvez également créer une liste blanche temporaire pour l'adresse de l'expéditeur afin d'obtenir le message d'exemple du destinataire pour envoi.
  • La liste blanche doit être supprimée après l'obtention du message d'exemple, car les adresses électroniques sont souvent usurpées par les spammeurs, ce qui pourrait entraîner le contournement de l'analyse antispam par des messages.

Dans Symantec Messaging Gateway, il est possible d'envoyer des messages directement depuis la quarantaine :

  • Créez une nouvelle stratégie de groupe pour le destinataire du message électronique et mettez l'action en quarantaine.
  • Assurez-vous que l'option permettant d'envoyer des messages mal identifiés à Symantec Security Response est activée sur la page Spam, Paramètres, Paramètres de quarantaine.
  • Demandez à l'expéditeur de renvoyer son message électronique.
  • Libérez le message électronique de la quarantaine.

Envoi de messages pour des règles de spam spécifiques au client

Vous pouvez obtenir des règles de spam spécifiques à votre entreprise en fonction des messages de spam manqués et des faux positifs que les administrateurs et les utilisateurs finaux envoient.

Cette fonction offre les avantages suivants :

  • Elle améliore la capacité de détection de spam de Symantec Messaging Gateway et permet aux administrateurs de contrôler les incidents de faux positifs.
  • Elle facilite l'envoi de messages de spam ou de messages de faux positifs à Symantec pour l'analyse et la création de jeu de règles.
  • Elle fournit de la visibilité sur l'état d'envoi et la création de jeu de règles.

Consultez Configuration des envois de spam spécifiques au client

Consultez À propos de l'envoi de messages pour des règles de spam spécifiques au client.

Instructions du client de messagerie électronique pour l'envoi d'exemples

Les clients de messagerie suivants ont été testés et confirmés pour pouvoir envoyer des messages dans le format requis. Si votre client de messagerie n'apparaît pas dans la liste ci-dessous, consultez la section Informations techniques du document pour connaître les exigences d'envoi de message électronique et la documentation de votre logiciel de messagerie pour déterminer si des envois sont possibles à l'aide de votre client de messagerie.

Microsoft Outlook 2013, 2016 et Office 365

Sélectionnez le message d'exemple et cliquez sur le ruban Accueil. Dans le groupe Répondre, cliquez sur Plus, puis sur Transférer comme pièce jointe.

Microsoft Outlook 2010

Cliquez avec le bouton droit de la souris sur le message d'exemple, sélectionnez Plus d'actions, puis cliquez sur Transférer en tant que pièce jointe.

Microsoft Outlook 2007

Sélectionnez le message d'exemple et appuyez sur Ctrl + Alt + F.
—OU—
Ouvrez un nouveau message et faites glisser le message d'exemple que vous souhaitez transférer du volet Messages vers le corps du nouveau message.
—OU—
Ouvrez un nouveau message, sélectionnez l'icône « Joindre un élément » et sélectionnez « Élément » dans la liste déroulante. Sélectionnez ensuite le message d'exemple que vous souhaitez joindre dans la boîte de dialogue « Insérer un élément »
—OU—
Transférez toujours les messages en tant que pièces jointes. Sélectionnez Outils, Options, onglet Préférences, Options de messagerie. Dans la section « Sur les réponses et les transferts », sélectionnez « Joindre le message d'origine » dans la liste déroulante « Lors du transfert d'un message ». Cliquez deux fois sur OK. Sélectionnez ensuite le message d'exemple et cliquez sur le bouton Transférer.

Microsoft Outlook 2003

Ouvrez un nouveau message et faites glisser le message d'exemple que vous souhaitez transférer du volet Messages vers le corps du nouveau message
—OU—
Ouvrez un nouveau message, sélectionnez l'icône de pièce jointe et sélectionnez « Élément » dans la liste déroulante. Sélectionnez ensuite le message d'exemple que vous souhaitez joindre dans la boîte de dialogue « Insérer un élément »
—OU—
Transférez toujours les messages en tant que pièces jointes. Sélectionnez Outils, Options, onglet Préférences, Options de messagerie. Dans la section « Sur les réponses et les transferts », sélectionnez « Joindre le message d'origine » dans la liste déroulante « Lors du transfert d'un message ». Cliquez deux fois sur OK. Sélectionnez ensuite le message d'exemple et cliquez sur le bouton Transférer.

Windows Mail/Microsoft Outlook Express 6

Cliquez avec le bouton droit de la souris sur le message d'exemple > Transférer en tant que pièce jointe.

Mozilla Thunderbird

Sélectionnez le message d'exemple (le message est mis en surbrillance). Cliquez sur Message, Transférer comme, « Pièce jointe ». (« Message » se situe en haut, en regard de « Fichier Édition Affichage Aller à »)

Messagerie Mac OS X

Mettez en surbrillance le message d'exemple. Cliquez sur Message, puis sur « Transférer en tant que pièce jointe » dans le menu.

Lotus Notes

Pour plus d'informations sur l'utilisation de Lotus Notes, lisez l'article Comment exporter des messages depuis IBM Lotus Notes.

Informations techniques

* Les pièces jointes à un message électronique DOIVENT respecter le format de pièce jointe « message/rfc822 ». RFC 822 est un sous-type MIME, décrit ici : http://www.ietf.org/rfc/rfc2046.txt. La section 5.2 de RFC 2046 traite le « type de support de message » et la section 5.2.1 traite le « sous-type RFC 822 ». Les en-têtes et le corps de texte Internet du message doivent être conservés dans leur intégralité exactement comme ils étaient à la réception du message et transférés tels quels en tant que pièce jointe.

En règle générale, les pièces jointes à un message électronique doivent avoir le même format de fichier que celui utilisé par le client de messagerie. Par exemple, les pièces jointes *.msg fonctionnent depuis Outlook si les instructions fournies précédemment sont suivies ; les pièces jointes *.eml fonctionnent depuis les clients de messagerie tels que Windows Live Mail, Microsoft Outlook Express, etc.

Remarque : Symantec NE CONSIDÈRE PAS les envois comme valides si les pièces jointes à un message électronique ont un format de fichier différent du format message/rfc822. Par exemple, les envois avec des pièces jointes au format *.eml d'Outlook ou avec des pièces jointes au format *.msg d'Outlook Express sont considérés comme des envois non valides.

** Plusieurs exemples de messages électroniques peuvent être joints à un seul message d'envoi à condition qu'ils ne dépassent pas la limite de taille maximum de 2 Mo par envoi, pièces jointes incluses.

Tout faux positif ou message de spam non détecté que vous envoyez à Symantec Corporation peut contenir des informations d'identification telles que des adresses électroniques et des informations dans le corps du message électronique et/ou des pièces jointes. En général, Symantec utilise ces informations uniquement pour créer des règles de détection de spam. Nous encourageons l'envoi de faux positifs ou de spam non détecté car cela permet de rendre nos produits plus efficaces et de vous fournir un meilleur service. L'accès à ces informations n'est pas partagé avec un tiers et est limité au personnel Symantec impliqué dans la création de règles de spam. Pour toute question relative à vos données personnelles, vous pouvez lire notre politique de confidentialité ou nous contacter à l'adresse suivante : privacy@symantec.com.

Informations supplémentaires

Consultez Astuce d'expert Symantec : envois réussis pour savoir comment envoyer en toute sécurité les fichiers suspects non détectés qui ont pénétré le système d'une entreprise par le biais de pièces jointes ou d'URL dans un message électronique, comment signaler les sites de phishing suspects, etc.

Imported Document ID: TECH83081

Merci pour vos commentaires. Faites-nous savoir ci-dessous si vous avez d'autres commentaires. (connexion requise)

    © 1995-2019 Symantec Corporation